Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

O termo "computação nas nuvens" não foi cunhado para descrever o site "Have I Been Pwned?" (HIBP), mas poderia ter sido: o site foi criado literalmente nas nuvens - durante uma viagem aérea - e Troy Hunt, o australiano que programou o site e opera sozinho o serviço, fala com entusiasmo sobre como hoje qualquer um pode criar um site ou serviço e mantê-lo no ar sem precisar se preocupar com picos de acesso, graças, também, ao uso de sistemas de "computação nas nuvens".

"Have I Been Pwned?" é um trocadilho e significa algo como "eu fui hackeado?". O site ajuda internautas a descobrirem se seus dados estão presentes em pacotes de dados vazados por hackers na internet. Ao cadastrar o endereço de e-mail na página, o serviço faz uma checagem em mais de 1,4 bilhão de registros e informa ao internauta se ele já teve seus dados expostos em algum vazamento. Também é possível optar para receber avisos no futuro e assim saber quando é preciso trocar uma senha.

Usar o site é grátis, mas a manutenção dele também não pesa no bolso: o Hunt conta que tem como princípio poder manter a página on-line "com menos dinheiro do que gasta com café". E não é por falta de acessos: a página já enviou 600 mil avisos para pessoas expostas em brechas e conta com 890 mil cadastros de pessoas de todo mundo, sendo que parte desses cadastros são corporativos - de bancos, empresas de telecomunicação e agências governamentais -, em que um único cadastro pode estar monitorando milhares de pessoais. Quando há um vazamento grande, a página chega a ter um milhão de visitantes em um único dia.

O HIBP ainda não tem os dados do recente vazamento do Yahoo - o pacote ainda não surgiu na web -, mas conta com outros nomes grandes, como Adobe, LinkedIn, MySpace, Tumblr e Dropbox.

Troy Hunt é um especialista em segurança que foi reconhecido pela Microsoft com dois títulos (o MVP  e o de "Diretor Regional") que a empresa concede a pessoas sem ligação funcional com a Microsoft e que contribuem com usuários de produtos Microsoft ou com a internet em geral. O primeiro prêmio, de MVP, chegou após Hunt publicar uma extensa série de artigos on-line sobre as brechas identificadas como as mais comuns da web pelo Projeto Aberto de Segurança de Aplicações Web (Owasp, na sigla em inglês).

Como lida com informações vazadas, o especialista e apenas registra no site o mínimo necessário para o serviço funcionar. É uma medida de precaução para que ele mesmo não acabe expondo os usuários se um dia for vítima de um ataque.

Hunt, que hoje tem 40 anos, conta que começou a se interessar por computadores quando era adolescente. Na época, ele vivia na Holanda e, segundo, ele, "era frio e não tinha muita coisa para se fazer". Ele então se formou na área e mais tarde se tornou arquiteto de software na empresa farmacêutica Pfizer, onde atuou de 2001 a 2015. Hoje, trabalha com cursos e treinamento on-line e presencial.

Para ele, porém, o projeto mais interessante em que já trabalhou é o "Have I Been Pwned". O motivo? A maneira como o site ficou popular e como ele consegue mantê-lo no ar.

"Sempre amei o fato de que, com a internet, tudo pode ser tão popular ou famoso quanto se imagina. Estava mesmo explicando para meu filho de seis anos sobre o Minecraft e como o criador vendeu o jogo por dois bilhões de dólares. Ele não sabe o que é um bilhão de dólares, mas ainda é algo incrível. E quando se olha para pessoas como Zuckerberg, que com praticamente nada fizeram algo grande, acho que isso é algo incrível da tecnologia. Não chego nem perto do sucesso dessas pessoas, mas fico feliz por ter desenvolvido algo 100% meu, no meu tempo livre, e poder usar serviços de nuvem como o Microsoft Azure para manter ele no ar em uma escala impressionante", explica Hunt. 

Página Have I Been Pwned. Para usar, basta digitar o endereço de e-mail e clicar em "pwned?". (Foto: Reprodução)

O site também faz uso do serviço gratuito Cloudflare para lidar com tráfego malicioso, voltado a sobrecarregar o site, que às vezes chega a ser 99% de todas as solicitações.

"Essa é a maravilha do que você pode construir hoje. Se dez anos atrás você tivesse que gastar com infraestrutura para lidar com um grande número de solicitações e lidar com tráfego malicioso, custaria centenas de milhares de dólares", diz.

Em uma conversa com Segurança Digital, Hunt contou sobre sua delicada relação com as fontes dos dados (pessoas que colaboram enviando os vazamentos), sobre soluções para gerenciamento de senhas, as reações das empresas após vazamentos e como ele verifica os vazamentos que inclui no site.

G1: Onde você acha os dados vazados? Você já pagou por alguma das informações vendidas na web para adicioná-las ao website?
Hunt:  Não, nunca paguei. Acho que pagar por vazamentos é uma coisa ruim por várias razões. Sei que outros sites que fazem notificações pagam por dados, mas o que me preocupa é que isso incentiva as pessoas a roubar os dados. Então se você pagar dois, três mil dólares, e é mais ou menos isso que custam, você justifica a atitude deles de hackear o site e vender os dados, então vão fazer isso de novo.

Para mim, isso é contraproducente, porque um serviço como esse deve tentar fazer da web um lugar melhor. Não queremos que sites sejam hackeados. Queremos que sites sejam mais protegidos e que, se forem hackeados, que as pessoas impactadas saibam o que aconteceu. Mas a última coisa que eu quero é fazer algo que incentive as pessoas a hackear mais sites. Por isso, nunca pago pelos dados, é errado.

Quase sempre os dados vêm de colaboradores. Tem muitas pessoas com quem converso, e a maioria delas nem sei quem é, e eles me enviam dados. Temos uma ideia do grupo demográfico: eles sã do sexo masculino, a maioria deles deve ser de adolescentes ou jovens adultos com seus 20 anos, são meio receosos, desconfiados, e têm tendências hacktivistas, acreditando que a informação deve ser livre. É um estereótipo, mas quase sempre se encaixam nesse gênero.

É complicado para mim porque sou o oposto em muitos pontos. Sou obviamente mais velho, sou uma pessoa bem pública, não tento esconder o que faço ou o que penso das coisas e estou do lado "White hat" das coisas. Mas o relacionamento com esses caras é importante, porque é deles que os dados vêm. É importante que eu cultive essas relações, mas que ao mesmo tempo não justifique o que eles fazem. Frequentemente falo com essas pessoas e digo: se você sabe de uma vulnerabilidade em um site, precisa entrar em contato e comunicá-los. Mas nem sempre funciona.

É um conflito. Se eles roubarem dados de novo, então os dados são úteis para o serviço. Mas não quero encorajá-los. Isso é importante, não só eticamente, mas legalmente, se alguém vier perguntar se eu encorajei alguém a invadir sistemas, a resposta tem que ser "não, eu nunca fiz isso".

G1: Como você não conhece as pessoa que mandam as informações, como você verifica a legitimidade dos dados, que eles vieram da fonte que a pessoa alega?
Hunt: Tento reunir indícios o suficiente para me deixar confiante de que o vazamento é legítimo antes de colocá-lo no site. Por exemplo, às vezes, só de olhar o arquivo dá para ver que algo não é normal - uma estrutura estranha, repetições que não estariam no sistema original... e às vezes isso acontece de verdade, e isso dificulta as coisas, mas tem certos "cheiros", por assim dizer, que ajudam a definir.

Outra questão é se a invasão foi revelada publicamente, se já foi noticiado. Também dá para checar se os endereços de e-mail no pacote estão no site que teria vazado. Dá para fazer isso porque a maioria dos sites tem "riscos de enumeração", você pode ir na página de "esqueci minha senha", digitar o endereço de e-mail e, se o e-mail for cadastrado, o site vai dizer que enviou um e-mail para aquele endereço; se o endereço não existe, vai dizer "endereço não encontrado". É um bom indicador. Dá para fazer isso também com contas do Mailinator. É um e-mail descartável que ninguém espera que seja particular.

Outra coisa que tenho feito, em especial no último ano, se eu ainda não tiver certeza que a brecha é legítima, é entrar em contato com usuários cadastrados do Have I Been Pwned que aparecem no vazamento para perguntar se os dados estão corretos.

G1: Quanto tempo tudo isso demora?
Hunt: Depende da brecha. Algumas levam poucos minutos, em pacotes pequenos o risco de errar é menor do que em um pacote grande. Diria que em geral leva uma hora. As que demoram mais envolvem comunicação com a empresa, repórteres -- eu falo bastante com repórteres porque eles são bons em conseguir respostas de empresas -, e quando publico no meu blog sobre um vazamento. Isso leva bem mais tempo para se fazer, cada fato precisa ser checado porque minhas declarações podem ter um impacto negativo para a empresa.

G1: Você já indicou o programa de gerenciamento de senhas 1Password no seu blog. Você recomenda programas de gerenciamento de senhas de modo geral ou existem programas ruins? Todo mundo devia usar um?
Hunt: Olha, acho que até um gerenciador de senhas ruim é melhor do que não usar um gerenciador de senhas. Vimos notícias dos incidentes de segurança da LastPass, mas eles sempre lidaram bem com isso e os incidentes não foram significativos. Mas ainda assim seria muito melhor estar usando o LastPass, mesmo com esses incidentes, do que não usar.

Tavis Ormandy, um pesquisador do Google, achou vulnerabilidades em programas antivírus e fez alguns comentários sobre gerenciadores de senha. E me preocupa que as pessoas vejam isso e voltem a uma prática menos segura.

Sempre que o assunto é segurança, a questão não é se o que você está fazendo é perfeitamente seguro, é uma questão de como o que você faz se compara com as alternativas. E quando a alternativa é sua memória... (risos)... sua memória não é boa. Você não vaise  lembrar de todas as suas senhas fortes e únicas. Não dá. E isso é o que as pessoas desconsideram. E o único meio viável de garantir o uso de senhas fortes no momento é com um gerenciador de senhas.

G1: O especialista em segurança Bruce Schneier recomendou que as pessoas escrevam a senha em papel e guardem o papel na carteira. O que você acha disso?
Hunt: Acho que isso também é uma discussão relativa. Fazer isso é melhor do que tentar memorizar e do que repetir a mesma senha de novo e de novo. Mas o caso é que algo escrito em papel não "escala" bem. Claro, tem a questão demográfica também - se estamos falando de alguém sem muita aptidão tecnológica, que não consegue usar um gerenciador de senha, então essa pode ser uma solução muito boa.

Mas vai dificultar a vida na hora de garantir que as senhas sejam fortes e que elas sejam sincronizadas em vários dispositivos. Acho que nossas necessidades para o uso das senhas tornam essa abordagem bem complicada.

G1: Então não é só a segurança, mas a facilidade de uso?
Hunt: Absolutamente. Profissionais de segurança em especial dizem frequentemente que "você deve fazer as coisas desse jeito e só desse jeito" e negligenciam completamente o aspecto da facilidade de uso. E nem acho que sempre a facilidade de uso é contrária à segurança. Por exemplo, o TouchID [sistema de biometria do iPhone], é lindo, funciona muito bem e é eficaz na proteção contra os riscos mais comuns envolvendo os dispositivos móveis, quais sejam, alguém pega seu telefone de uma mesa ou rouba ele de você. Todas essas coisas são resolvidas com algo como o TouchID.

Claro, talvez a Agência de Segurança Nacional dos Estados Unidos possa fazer uma réplica da sua digital e acessar seu telefone. Mas essa não é uma ameaça para a maioria das pessoas.

G1: E o que é um bom gerenciador de senhas? Sincronizar as senhas no navegador conta como "ter um gerenciador de senhas"?
Hunt: É preciso ter cuidado. Esses integrados aos navegadores me preocupam, porque é possível pegar suas senhas se você estiver logado na máquina, então se você se afastar da máquina, você tem um problema. Já gerenciadores de senhas dedicados como o 1Password travam as suas senhas, você precisa se autenticar de novo. Isso é importante.

Outro problema é que hoje usamos aplicativos móveis com frequência e você precisa se autenticar nesses serviços. Armazenando a senha no navegador, isso fica difícil. O que as pessoas precisam se perguntar é "em quais dispositivos eu preciso que isso funcione?" Um dos problemas com o 1Password é que não há versão para Linux, então se você usa Linux não vai funcionar. É preciso achar algo que funcione.

E tem a questão de conforto. Tem gente que não usa o 1Password porque ele sincroniza com o Dropbox. Dá para sincronizar com outros canais, também, mas as pessoas se incomodam porque "o Dropbox foi hackeado", "o governo dos EUA tem acesso", mas isso não é algo com que você precisa se preocupar (risos). Você tem que se preocupar com operadores de malware e criminosos. É isso que temos que resolver. Não o governo com 12 bilhões de dólares no orçamento que pode vir e te pegar se quiser algo de você.

G1: Muitas invasões que ocorreram em 2012 apareceram esse ano. Vamos descobrir quem está sendo hackeado hoje também só daqui quatro anos, em 2020?
Hunt: É quase certo que sim. Há incidentes ocorrendo o tempo todo que não temos conhecimento e que talvez a gente fique sabendo no futuro - tem muitos outros que nem vamos ficar sabendo. Muitas organizações são bem ruins na hora de detectar esses incidentes. Isso significa que vai demorar até a gente saber sobre os incidentes que estão ocorrendo agora.

Mas não sei por que tantos incidentes de 2012 só apareceram agora. Suspeito que há uma linha comum, porque é coincidência demais, mas não sei se veremos mais informações do tipo. Talvez alguém tenha acumulado muitos dados ou comprado de alguém que invadiu e esteja liquidando essas informações. Não está claro, mas são dados demais para ser mera coincidência.

G1: Se as empresas estivessem fazendo o suficiente para avisar os usuários sobre os vazamentos, ninguém precisaria do Have I Been Pwned. Então, o que as companhias estão fazendo de errado e como poderiam melhorar?
Hunt: Acho que um dos problemas é que elas não demonstram urgência. Este ano falei pelo Twitter com um oficial da comissão eleitoral das Filipinas e perguntei: por que vocês não confirmam o vazamento [com 55 milhões de eleitores]? E ele disse: "bom, nós não confirmamos isso ainda". Mas os dados estão lá, é só baixar os dados do "torrent" e ver se é idêntico ao que está no sistema. Se é idêntico, então é legítimo, qual é a dificuldade? Mas eles não querem fazer isso.

E às vezes tenta-se esconder o vazamento. Escrevi sobre o vazamento do Lifeboat este ano. Eles sabiam que tinham perdido os dados e decidiram não dizer para ninguém, alegando que, se fizessem isso, os hackers ficariam sabendo e tentariam explorar os dados antes das pessoas mudarem suas senhas. O que é uma bobagem estúpida, é ruim demais (risos). Mas foi o que alegaram..

Também tenta-se diminuir a gravidade do vazamento. Não sei quanto disso é porque estão em "modo de contenção de danos" e quanto disso é por nem ter ideia de quantas informações vazaram. Ou há uma falta de orientação. Caso da Ashley Madison: eles perderam milhões de contas e disseram "seus cartões de crédito não estavam inclusos". (risos) Pessoas se mataram porque tiveram o adultério exposto, elas não se importam com o cartão de crédito. E cartões de crédito podem ser substituídos. Bancos reembolsam as transações e te mandam um cartão novo e é isso. Acabou. Não é a mesma coisa que ser exposto como adúltero ou ter revelada sua senha que você usa em outro site.

Imagem: Troy Hunt. (Foto: Arquivo pessoal)

Siga a coluna no Twitter em @g1seguranca.